Análisis: La computación cuántica no representa una amenaza para claves simétricas de 128 bits, y la "criptografía post-cuántica" ha sido malinterpretada con pánico.

Noticias de Mars Finance, el 21 de abril, el ingeniero criptográfico Filippo Valsorda escribió un artículo argumentando que, incluso con el ritmo de desarrollo más optimista, las computadoras cuánticas en la realidad no podrán romper la encriptación simétrica de 128 bits en un futuro previsible, y que el actual “criptografía post-cuántica” existe como una lectura alarmista equivocada. En su artículo titulado “Las computadoras cuánticas no representan una amenaza para las claves simétricas de 128 bits”, indica que las computadoras cuánticas no constituyen una amenaza real para las claves simétricas de 128 bits (como AES-128), y que la industria no necesita actualizar la longitud de las claves por ello. Filippo Valsorda señala que muchas personas temen que las computadoras cuánticas puedan reducir la seguridad efectiva de las claves simétricas a la mitad mediante el algoritmo de Grover, haciendo que una clave de 128 bits solo proporcione 64 bits de seguridad, lo cual es incorrecto. Este malentendido surge por ignorar las limitaciones clave del algoritmo de Grover en ataques prácticos. El principal problema del algoritmo de Grover es que no puede ejecutarse de manera efectiva en paralelo. Sus pasos deben realizarse en serie, y forzar la paralelización aumenta drásticamente el costo total de cálculo. Incluso con una computadora cuántica idealizada, romper una clave AES-128 requeriría una cantidad astronómica de cálculos, aproximadamente 2¹⁰⁴·⁵ operaciones, lo que es decenas de miles de millones de veces más costoso que romper algoritmos de cifrado asimétrico actuales, y es completamente inviable. Actualmente, instituciones estándar como NIST en EE. UU., BSI en Alemania y expertos en criptografía cuántica han declarado claramente que algoritmos como AES-128 son suficientes para resistir ataques cuánticos conocidos, y lo consideran un estándar de seguridad post-cuántica. En una respuesta oficial, NIST incluso recomienda directamente que “no se debe duplicar la longitud de la clave AES para hacer frente a amenazas cuánticas”. Filippo Valsorda finalmente aconseja que la única tarea urgente en la transición post-cuántica es reemplazar los cifrados asimétricos vulnerables (como RSA y ECDSA). Utilizar recursos limitados para actualizar las claves simétricas (por ejemplo, de 128 a 256 bits) no es necesario, distrae esfuerzos, aumenta la complejidad del sistema y los costos de coordinación, por lo que se debe enfocar toda la atención en las partes que realmente necesitan ser reemplazadas.